Zum Inhalt

Intelligence Gathering Phase

Link zur offiziellen PTES-Dokumentation

Einleitung

Die Intelligence Gathering Phase ist die erste operative Phase eines Penetrationstests.
In diesem Schritt beginnt der Tester, systematisch Informationen über das Ziel zu sammeln — sowohl technische als auch organisatorische.

Das Ziel dieser Phase ist es, eine möglichst umfassende Wissensbasis zu schaffen, die für alle weiteren Schritte des Pentests essenziell ist.
Je besser die Informationen sind, desto präziser, effizienter und wirkungsvoller können spätere Angriffe durchgeführt werden.

Diese Phase beantwortet zentrale Fragen wie:

  • Was ist über das Ziel öffentlich sichtbar?
  • Welche Technologien, Netzwerke, Dienste oder Systeme können identifiziert werden?
  • Wie ist das Unternehmen strukturiert und welche Angriffspunkte ergeben sich daraus?

Intelligence Gathering bildet damit das Fundament für alle technischen Aktivitäten eines Pentests.

Um was geht es bei dieser Phase?

In der Intelligence-Gathering-Phase werden möglichst viele Informationen über das Ziel gesammelt.
Dies umfasst verschiedene Informationskategorien:

  • Physische Informationen (Standorte, Gebäude, Rechenzentrum-Strukturen)
  • Logische Informationen (Produkte, Kunden, Marktposition)
  • Organisatorische Informationen (Strukturen, Schlüsselpersonen)
  • Elektronische Informationen (Dokumente, Marketing, digitale Spuren)
  • Infrastrukturinformationen (IT)fokussiert im Rahmen dieses Workshops
  • Finanzielle Informationen (Investoren, Budget, wirtschaftliche Lage)

Im Pentesting-Kontext liegt der Schwerpunkt klar auf der IT-Infrastruktur, da hier die technische Angriffsfläche sichtbar wird.
Typische Fragen sind z. B.:

  • Welche Domains und Subdomains existieren?
  • Welche IP-Adressen sind dem Unternehmen zugeordnet?
  • Welche Systeme oder Dienste sind aus dem Netzwerk heraus erreichbar?
  • Welche Standardinformationen geben Server, DNS-Systeme oder Applikationen preis?

Diese Erkenntnisse bestimmen massgeblich, welche Angriffswege realistisch und vielversprechend sind.

Wichtige Aussagen aus der PTES-Dokumentation

1. “The more information you are able to gather during this phase, the more vectors of attack you may be able to use in the future.”

Je mehr Informationen in dieser Phase gesammelt werden, desto mehr mögliche Angriffsvektoren stehen im späteren Pentest zur Verfügung.
Ein umfangreiches Intelligence Gathering ermöglicht:

  • eine grössere Anzahl möglicher Angriffspunkte
  • bessere Priorisierung im späteren Test
  • tiefere Einsichten in die Infrastruktur
  • realistischere Angriffsszenarien

Gute Informationsgewinnung erhöht also direkt die Qualität und Wirksamkeit des gesamten Pentests.

2. “Open source intelligence (OSINT) is a form of intelligence collection management that involves finding, selecting, and acquiring information from publicly available sources and analyzing it to produce actionable intelligence.”

OSINT (Open Source Intelligence) umfasst das Finden, Auswählen und Auswerten von öffentlich zugänglichen Informationen, um daraus nutzbare Erkenntnisse abzuleiten.

Typische OSINT-Quellen:

  • Websites und öffentliche Firmeninformationen
  • Social Media Profile
  • DNS- und WHOIS-Daten
  • Dokumente, Pressemitteilungen, PDFs und Metadaten
  • Code-Repositories
  • Suchmaschinen, Archivdienste (z. B. Wayback Machine)
  • Shodan, Cert-Transparenzlogs und andere OSINT-Tools

OSINT ist ein zentraler Bestandteil des Intelligence Gathering, da es häufig viele Details offenlegt, ohne dass das Ziel direkt kontaktiert wird.

3. “The information collected will directly influence the effectiveness of the penetration test.”

Die Qualität eines Pentests hängt stark davon ab, wie gut die Vorbereitung in dieser Phase war.
Fehlen wichtige Informationen, werden mögliche Schwachstellen vielleicht nie entdeckt.

Ein gutes Intelligence Gathering ermöglicht:

  • gezieltere Angriffe
  • bessere Priorisierung
  • effizientere Testabdeckung
  • realistischere Angriffsszenarien

Schlechte Informationslage führt dagegen zu zufälligem oder ineffizientem Testen.

4. “Open Source Intelligence (OSINT) takes three forms; Passive, Semi-passive, and Active.”

OSINT wird in drei Formen unterteilt:

Passive OSINT

  • keine direkte Interaktion mit dem Ziel
  • Nutzung externer Informationsquellen
  • praktisch nicht detektierbar
  • Beispiele: Google Dorks, Shodan, Presseartikel, Archive

Semi-passive OSINT

  • minimale Interaktion mit Zielsystemen
  • erzeugt meist nur Standard- oder unauffälligen Traffic
  • Beispiele: DNS- und WHOIS-Abfragen, einfache HTTP-Requests

Aktives OSINT

  • direkte Interaktion mit dem Ziel
  • potenziell detektierbar
  • Beispiele: Portscans, Banner-Grabbing, Netzwerkprotokollanalysen

Diese drei Stufen zeigen unterschiedliche technische Tiefe und Risikoexposition.

Warum ist diese Phase so wichtig?

  • Sie legt fest, wie gut und wie tiefgehend ein Pentest durchgeführt werden kann.
  • Sie ermöglicht effizientere Tests, weil Angriffswege nicht dem Zufall überlassen werden.
  • Sie schützt davor, Zeit in irrelevante Ziele zu investieren.
  • Sie erhöht die Wahrscheinlichkeit, kritische Schwachstellen zu finden.

Kurz gesagt:
Ohne gründliches Intelligence Gathering bleibt ein Pentest blind.